區塊鏈:靠瞎猜盜得5000萬美元的以太幣 一個區塊鏈大盜的另類傳奇

在以太坊上，猜測私鑰就像猜測彩票中獎號碼一樣，從統計學上來說并不現實。但就有一些用戶耍小聰明，將自己的以太坊私鑰設置成容易記憶的字符，方便了自己的同時，也給區塊鏈大盜留下了可乘之機。

最近《連線》雜志曝出了一個區塊鏈大盜的事跡，他僅靠猜測以太坊私鑰盜走了5000萬美元的以太幣，然而幣價崩潰他的不義之財縮水了85%。

那么，他是怎么偷竊以太幣的呢？靠猜測就能破解別人的私鑰，這是神馬神操作？他又是怎么被揪出來的呢？讓我們一起走進這個區塊鏈大盜的悲喜人生。AdrianBednarek是一名安全顧問，而他的客戶飽受加密貨幣失竊的困擾，于是Bednarek開始站在對手的角度上思考問題。

從去年夏天開始，如何竊取以太幣這個問題一直困擾著AdrianBednarek。當然了，他并不是真的想要成為一個“區塊鏈大盜”。

不過有這么多種加密貨幣，為什么Bednarek要選擇以太幣呢？這是因為以太坊出了名的復雜性，同時以太坊各個復雜的組件都可能會帶來潛在的安全漏洞，這使得以太幣很容易被攻擊。

不過，這里的容易被攻擊只是相對而言的，以太坊也并不是不堪一擊。所以，Bednarek選擇從最簡單的攻擊方式：私鑰入手。

彭博社：歐盟委員會今日將制定推出數字歐元的計劃:6月28日消息，歐盟委員會今日將制定推出數字歐元的計劃，并為歐元區建立主權數字貨幣。彭博社表示，根據相關規則草案，要求歐洲央行對其使用設定限制，但沒有提出交易或持有的具體門檻。[2023/6/28 22:05:28]

我們都知道，以太坊的私鑰是其上賬戶所有權的證明，它可以用來管理以太幣。按照以太坊的規定，私鑰應該是一串很難被猜出的長達256位的二進制數。

不過以太坊用戶為了方便記憶也可以任意設置私鑰，就比如說設置為1，但這種簡單的私鑰很容易被猜出來，因而安全性很差，往往不被人們所采用，人們通常都會使用錢包軟件生成有隨機性的私鑰。

然而出人意料的是，通過檢索區塊鏈上存儲的以太幣交易數據，Bednarek發現還真的有人使用這種極其簡單的私鑰進行交易。

不過這個賬戶中的以太幣已經被轉走了，幾乎可以肯定這筆錢是被區塊鏈大盜偷走的，他趕在Bednarek之前偷走了這筆錢。與比特幣等其他加密貨幣相同，如果有人知道了你的以太坊私鑰，他就能從私鑰中計算得出你的公鑰以及賬戶地址。

所以區塊鏈大盜可以使用這個私鑰轉走你賬戶中的以太幣余額，而區塊鏈上驗證交易的礦工不會也不能核實發起交易的是不是賬戶真正的主人。

OpenGate正式開放FNS二級交易，鏈上交互量居FVM生態第二:5月11日消息，由澳大利亞Web3科技公司OpenGate開發的FNSFilecoin生態首個域名項目宣布正式開放FNS二級交易。自2023年3月14日Filecoin公鏈正式上線FVM以來，Filecoin生態中的各類應用數量呈現大幅激增的態勢。[2023/5/11 14:57:08]

這個發現激起了Bednarek的好奇心。所以他連續嘗試了幾個簡單的私鑰：2、3、4，然后又試了10、20、30這樣復雜一點的私鑰，不過所有這些私鑰對應的賬戶余額都被清空了，這么看來，靠猜測私鑰盜竊以太幣并非個案。

為了捕捉更多區塊鏈大盜的信息，Bednarek和他在安全咨詢公司IndependentSecurityEvaluators的同事們編寫了一些代碼，在云服務器上自動化地檢查了上百萬個簡單的私鑰。

Bednarek的團隊將這次實驗的結果寫成了一篇論文，并在周二發表了出來。論文中講到，Bednarek的團隊發現在過去的幾年中，不斷有用戶將自己珍貴的加密貨幣存儲在幾百個私鑰非常容易被猜出來的賬戶之中。

同時，他們還揪出了一個“區塊鏈大盜”。這個大盜已經使用這種猜測私鑰的盜竊方法偷走了近4.5萬個以太幣，按照當時的幣價來算，這筆不義之財價值5000萬美元。

盈透證券截至三季度末為客戶持有1億美元的加密資產:11月10日消息，據外媒報道，最大的股票交易平臺之一盈透證券 (Interactive Brokers：IBKR) 在第三季度收益報告中表示，公司使用第三方加密貨幣服務提供商 (CSP) 為客戶購買、出售和持有加密資產。

報告顯示：“截至2022年9月30日，在CSP中以客戶名義持有的加密資產的公允價值為1.01億美元（截至2022年1月1日為1.34億美元），其中包括5500萬美元的比特幣、4400萬美元的以太坊和200萬美元的其他加密資產。”（Trustnodes）[2022/11/10 12:41:42]

“這個區塊鏈大盜做了和我們一樣的事情，只不過他捷足先登了，”Bednarek說，“我們不知道這個區塊鏈大盜背后是一個人還是一個團伙，但可以肯定的是，他花費了大量的時間和算力來監視每一筆以太幣交易，檢測每一個以太幣錢包，嘗試著去偷走以太幣。”

猜對以太坊私鑰等于沙里淘金

為了更好地解釋區塊鏈大盜是如何偷錢的，首先我們需要說明猜對一個隨機生成的以太坊私鑰的概率。以太坊的私鑰是一個256位的二進制數，因此猜對它的概率是2的256次方分之1，數值上大約是10的78次方分之1，也就是說分母是10后面78個0。

Rari Capital攻擊事件受損資金將于24小時內補償發放:9月21日消息，Fei Protocol核心人員于推特上表示，Rari Capital的Fuse資金池攻擊事件受損資金將于24小時內補償發放。此外表示“低估了局勢的復雜性，這種良好的處理結束方式讓我們有機會反思和吸取DeFi的教訓”。對于被盜事件表示“當DAO持有重要的非原生資產時，Token使用范圍需要制定強有力的規范（通過鏈上執行）。”

此前8月20日，Fei Labs在Tribe DAO治理論壇中提出TIP-121提案，該提案提議將DAO剩余資產分配給TRIBE持有者，并補償此前在“Rari Capital 在 Fuse上資金池遭黑客攻擊”事件中的受損用戶。[2022/9/21 7:10:30]

如何來理解這個量級呢？這個分母大致等于宇宙中原子的個數。對此Bednarek做了一個絕妙的比喻，猜對一個隨機生成的以太坊私鑰的概率無異于在沙灘上找到別人藏好的一粒沙子。

我們常說，不怕神一樣的對手，就怕豬一樣的隊友。雖然以太坊本身的私鑰機制足夠安全，但這架不住有用戶為了省事選擇那些易于猜測的、安全性極低的私鑰。

Bednarek發現了很多這樣的現象，當然了，除了用戶自身的責任以外，錢包軟件也有責任。有些錢包軟件由于編碼錯誤導致其并沒有按照給定的長度生成密鑰，而有些錢包軟件高估了用戶群體對區塊鏈的理解程度，以至于讓一些沒有經驗的用戶直接選擇了自己好記的私鑰。

螞蟻集團數字科技AIoT石易：區塊鏈+IoT構建源頭可信的物理世界鏈接:金色財經報道，6月23日，鏈上新能源在線研討會舉辦。螞蟻集團數字科技AIoT石易指出，螞蟻鏈沉淀多項可信科技的技術優勢，包括端云結合可信上鏈、跨多平臺數據隱私、分布式身份管理、實物資產數字化。在技術和產品的進展上，螞蟻鏈與客戶一同拓展螞蟻鏈可信IoT應用場景，當前我們在新能源行業已經管理了500w+設備，日平均上鏈量2000w+。實踐案例包括：與奇瑞商用車初探車規級SDK錨定技術，實現車輛數據源頭可信，助力完善車輛全生命周期管理，促進產業上下游高頻協同；通過在無錫英臻科技自主研發的分布式新能源數據采集設備中嵌入深度優化的可信上鏈模組AntChainMaas，將分布式新能源場景中的核心通訊節點逆變器上鏈；螞蟻鏈為哈啰助力車植入深度優化區塊鏈模塊，行車數據、電池加密上鏈，為金融機構提供可靠的風控評估依據。在這其中，區塊鏈+IoT構建了源頭可信的物理世界鏈接，未來螞蟻鏈將持續構建全棧可信的數字技術，共建實體經濟可信高效協作底座。[2022/6/23 1:26:32]

最壞的情況是，錢包軟件的開發人員故意破壞了私鑰隨機生成的過程，以便后期猜出用戶的私鑰并盜走用戶的以太幣。

為了找到那些私鑰安全性較差的地址，Bednarek的團隊最終掃描了340億個以太坊地址。他們將這個過程稱為“以太幣搜索”。就像在沙灘上尋找一粒沙子一樣，只不過在以太幣搜索中，私鑰的排列更加無序，要找的目標也更多。

最終他們找到了732個曾經存有過以太幣但最后余額被清空了的賬戶。雖然其中一些賬戶余額清空無疑是賬戶主人所為，但Bednarek指出，自2015年以太幣正式面世以來，以太坊上發生過很多起因私鑰安全性較差導致的以太幣失竊事件，他找到的這732個賬戶可能只是冰山一角。

被侵入的以太坊賬戶分部

與此同時，在那些被清空的賬戶中，Bednarek發現了一個很有趣的現象，有12個賬戶是被同一個區塊鏈大盜清空的。

也就是說，這12個賬戶中的以太幣余額都被轉移給了同一個賬戶，而這個賬戶的以太幣持有量達到了驚人的4.5萬個。即使在以太幣幣價已經跌得慘不忍睹的今天，這些以太幣仍價值770萬美元。

高手過招，招招致命

區塊鏈大盜已經偷了這么多錢，現在他有沒有金盆洗手呢？帶著這個問題，Bednarek又做了一個實驗。他給一個曾被區塊鏈大盜清空過的私鑰安全性較差的賬戶中轉入了價值1美元的以太幣，出乎所有人意料的是，僅僅過了幾秒鐘，這筆錢就被區塊鏈大盜收入囊中。

緊接著Bednarek給一個未被使用過的私鑰安全性較差的賬戶中轉入了價值1美元的以太幣，短短幾秒內這筆錢也被清空了，不過這次收款人的賬戶與上次不同，這個賬戶只持有價值數千美元的以太幣。

在以太坊區塊鏈的未決交易中，Bednarek發現有另一個區塊鏈大盜也在搶這1美元的以太幣，只不過晚了一步，沒有搶到。這么看來，這些區塊鏈大盜似乎都有一個數量龐大的，預先生成的公鑰私鑰列表，并以非常人所能做到的速度自動化地掃描這些賬戶。

事實上，研究人員在查看區塊鏈大盜在以太坊區塊鏈上留下的“罪證”時發現，在過去的三年中這個大盜從數千個以太坊賬戶中盜取了以太幣，但他從未有過向外界轉移以太幣的記錄，Bednarek認為這可能是一起自動執行的以太幣盜竊事件。

在2018年1月以太幣幣價達到頂峰時，區塊鏈大盜的賬戶持有3.8萬個以太幣，在當時價值超過了5400萬美元。從那時起，以太幣幣價一落千丈，區塊鏈大盜的財富也縮水了約85％。

“你會為他感到難過么？”Bednarek笑著問道，“這個區塊鏈大盜竊取了大量的財富，但隨著市場的萎靡，這些不義之財也在大幅度縮水。”

區塊鏈的匿名性設計對實驗造成了一定的干擾。盡管Bednarek對區塊鏈大盜的犯罪事實一清二楚，但他沒有任何辦法來找出這個人的真實身份。不過，鑒于朝鮮政府使用加密貨幣躲避經濟制裁的目的以及其最近幾年盜取了超過5億美元加密貨幣的事實，Bednarek開始懷疑朝鮮，他說“我覺得這背后可能是國家的行為，而且可能就是朝鮮，但這只是猜測。”

私鑰的安全性

除了無法揪出區塊鏈大盜的真實身份以外，Bednarek也無法識別是哪些錢包軟件由于故障或損壞生成了安全性較差的私鑰，他只能看到這些安全性較差的私鑰被創造出來并因此導致以太幣失竊的證據。

Bednarek說“我們可以看到用戶的以太幣失竊，但我們不能明確這是哪個錢包軟件的責任”。對于區塊鏈大盜，目前尚不清楚他的不義之財是否都來源于那些私鑰安全性較差的賬戶，因為除此之外，他還可能有其他的盜竊技巧。

比如說猜測“腦錢包(BrainWallet)”生成的賬戶私鑰。腦錢包只需用戶提供幾個單詞，它就會自動生成私鑰和公鑰，乍一看感覺這種方法非常方便，但是這些單詞生成的公鑰私鑰比完全隨機生成的更容易被暴力破解。

在2017年，一個安全研究人員團隊發現一個區塊鏈大盜通過攻擊腦錢包總共偷走了2846個比特幣，即使在比特幣幣價大幅度跳水的今天，這些比特幣的價值仍超過了1700萬美元。無獨有偶的是，在2015年年底，一個區塊鏈大盜通過攻擊以太坊上的腦錢包偷走了近4萬個以太幣，和上文中那個區塊鏈大盜“不分伯仲”。

Bednarek的團隊還沒有在比特幣區塊鏈上重復這樣的實驗。不過Bednarek已經對100個左右私鑰安全性較差的比特幣賬戶進行了一次抽查，他發現相應賬戶的余額全部被清空了。

但在比特幣上并沒有出現以太坊上一個區塊鏈大盜獨大的現象，可能是因為比特幣作為第一大加密貨幣，所以在比特幣區塊鏈上盜賊之間的競爭也更加激烈，因而贓款的分布也就更加去中心化。

Bednarek這次的實驗給錢包軟件開發人員上了生動的一課。開發人員應該仔細審核錢包軟件的代碼，以找出可能會導致生成的私鑰安全性較差以及有其他風險的漏洞。

同時，對于用戶來說，用戶應該謹慎選擇錢包軟件。“因為在你的加密貨幣被盜后，你不能打電話給服務臺，要求他們撤銷交易。它們被盜走后，就再也找不回來了，”Bednarek說，“所以說人們應該選用值得信賴的錢包軟件，并從官網等可靠的來源處下載它們。”

不要讓你心愛的加密貨幣成為交給區塊鏈大盜的學費

Tags：區塊鏈AREEDNANAR區塊鏈dapp游戲Hero ArenaChina Granaries

BNB價格